Myukura
Fase Beta

Legal · RGPD

Política de Privacidad

Última actualización: marzo de 2025 · Versión 1.0

En Myukura tratamos datos de carácter especial (datos de salud). Esta política explica con precisión qué datos recogemos, con qué propósito, cuánto tiempo los conservamos y cuáles son tus derechos, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

Denominación: MYULAB INNOVATIONS SL

Marca comercial: Myukura

Domicilio social: Andalucía, España

Actividad: Plataforma SaaS de asistencia clínica con inteligencia artificial

Correo de contacto: contacto@myukura.com

Ámbito territorial: Unión Europea

Actuamos como encargado del tratamiento respecto a los datos de pacientes que introduce el profesional sanitario (responsable), y como responsable del tratamiento respecto a los datos de cuenta del profesional (nombre, email, datos de suscripción).

2. Datos que tratamos

Myukura trata las siguientes categorías de datos en función del rol del usuario:

Datos del profesional sanitario (cuenta)

  • Correo electrónicoIdentificación y acceso
  • Nombre y apellidos (opcional)Personalización
  • Especialidad médica / veterinariaConfiguración del servicio
  • Datos de suscripción y facturaciónGestión del contrato
  • Logs de acceso e IPSeguridad y auditoría

Datos de pacientes — Categoría especial (Art. 9 RGPD)

  • Nombre / identificador del pacienteAsociación de la ficha clínica
  • Audio de consulta (temporal)Transcripción por IA · se elimina tras aprobación
  • Transcripción de textoGeneración del informe clínico
  • Informe / historia clínica estructuradaDocumento médico persistente
  • Adjuntos: imágenes, PDFs (opcional)Documentación complementaria
⚠️

Los audios de consulta son datos de salud de categoría especial. Se procesan exclusivamente en memoria RAM durante la transcripción y se eliminan permanentemente del almacenamiento en el momento en que el profesional aprueba el informe clínico. Nunca se almacenan de forma persistente sin cifrar.

3. Finalidades y base legal

Prestación del servicio contratado

Ejecución del contrato (Art. 6.1.b RGPD)

Crear y gestionar tu cuenta, procesar consultas, generar informes clínicos mediante IA.

Datos de salud de pacientes

Consentimiento explícito del responsable + necesidad para la asistencia sanitaria (Art. 9.2.h RGPD)

El profesional sanitario, como responsable del tratamiento, determina la base legal aplicable a sus pacientes. Myukura actúa exclusivamente como encargado.

Comunicaciones del servicio

Interés legítimo (Art. 6.1.f RGPD)

Notificaciones técnicas, alertas de seguridad, cambios en el servicio. Sin marketing sin consentimiento explícito.

Cumplimiento legal y seguridad

Obligación legal (Art. 6.1.c RGPD)

Logs de auditoría, respuesta a requerimientos de autoridades competentes, prevención de fraude.

Mejora del servicio (agregado y anonimizado)

Interés legítimo (Art. 6.1.f RGPD)

Métricas de uso completamente anonimizadas. Nunca se utilizan datos clínicos identificables para entrenar modelos de IA.

4. Conservación de datos

Los datos se conservan exclusivamente durante el tiempo necesario para la finalidad para la que fueron recogidos:

Tipo de datoPeríodo de conservación
Datos de cuenta (email, nombre)Vigencia de la cuenta + 30 días tras baja
Audio de consultaEliminado permanentemente al aprobar el informe (zero-footprint)
Informes y fichas clínicasMientras la suscripción esté activa + 6 meses de retención garantizada
Logs de seguridad/auditoría12 meses desde el evento
Datos de facturación5 años (obligación fiscal española)
Copias de seguridadMáximo 30 días en backup cifrado

Tras la cancelación de la suscripción, el profesional dispone de 6 meses para exportar sus datos en formato PDF o JSON antes de la eliminación permanente. La exportación está disponible desde el panel de Configuración → Plan y suscripción.

5. Destinatarios y transferencias internacionales

Myukura utiliza los siguientes subencargados del tratamiento, todos con garantías adecuadas conforme al RGPD:

Supabase (base de datos y autenticación)

Ubicación: UE (región eu-central-1 / Frankfurt)

Garantía legal: BCR + Cláusulas Contractuales Tipo (SCCs)

Datos implicados: Datos de cuenta, fichas clínicas, audios cifrados en tránsito

Google Cloud Platform / Vertex AI

Ubicación: UE (region europe-west)

Garantía legal: Acuerdo de procesamiento de datos (DPA) + SCCs · GDPR compliant

Datos implicados: Procesamiento de audio y texto para transcripción e IA clínica

Vercel (hosting de la aplicación web)

Ubicación: UE

Garantía legal: DPA + SCCs

Datos implicados: Datos en tránsito HTTP (no almacenamiento persistente)

No realizamos transferencias internacionales fuera del Espacio Económico Europeo sin garantías adecuadas. Los datos clínicos de pacientes no se comparten con terceros salvo requerimiento legal expreso.

6. Tus derechos (Arts. 15–22 RGPD)

Como interesado, puedes ejercer en cualquier momento los siguientes derechos dirigiéndote a privacidad@myukura.com, indicando tu nombre y acreditando tu identidad:

Acceso (Art. 15)

Obtener confirmación de si tratamos tus datos y una copia de los mismos.

Rectificación (Art. 16)

Corregir datos inexactos o completar datos incompletos.

Supresión (Art. 17)

Solicitar la eliminación de tus datos cuando ya no sean necesarios.

Limitación (Art. 18)

Restringir el tratamiento en determinadas circunstancias.

Portabilidad (Art. 20)

Recibir tus datos en formato estructurado y legible por máquina.

Oposición (Art. 21)

Oponerte al tratamiento basado en interés legítimo.

No decisión automatizada (Art. 22)

No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos significativos.

Retirada del consentimiento

Retirar en cualquier momento el consentimiento prestado, sin efecto retroactivo.

Plazo de respuesta: Responderemos en el plazo máximo de 30 días naturales desde la recepción de tu solicitud. Si la solicitud es compleja, podemos ampliar el plazo 2 meses adicionales, notificándotelo en el primer mes.

Tienes también derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es si consideras que el tratamiento de tus datos no es conforme al RGPD.

7. Seguridad técnica y organizativa

Aplicamos medidas de seguridad conformes al estado del arte y al nivel de riesgo del tratamiento de datos de salud:

  • Cifrado en tránsito mediante TLS 1.3 para todas las comunicaciones
  • Cifrado en reposo AES-256 para todos los datos almacenados (Supabase Storage + base de datos)
  • Autenticación de doble factor (TOTP/MFA) disponible para todos los usuarios
  • Control de acceso basado en roles (RBAC) — cada profesional accede exclusivamente a sus propios datos
  • Políticas de seguridad a nivel de fila (Row Level Security) en base de datos
  • Eliminación automática de audios tras aprobación del informe (zero-footprint)
  • Logs de auditoría inmutables para todas las acciones sobre datos clínicos
  • Copias de seguridad cifradas con período máximo de retención de 30 días
  • Procedimiento formal de notificación de brechas en ≤72 horas (Art. 33 RGPD)

8. Cookies y tecnologías similares

Myukura utiliza únicamente las siguientes cookies, todas ellas estrictamente necesarias para el funcionamiento del servicio:

CookieFinalidadDuración
sb-access-tokenSesión de autenticación SupabaseSesión
sb-refresh-tokenRenovación automática de sesión7 días
myukura-themePreferencia de tema visual (localStorage)Permanente local
myukura-localePreferencia de idioma1 año

No utilizamos cookies de análisis, publicidad ni seguimiento. No compartimos datos de navegación con terceros. No hay banners de cookies invasivos porque no los necesitamos: las únicas cookies son técnicas y esenciales.

9. Menores de edad

El servicio de Myukura está dirigido exclusivamente a profesionales sanitarios mayores de 18 años. No recogemos conscientemente datos personales de menores de edad como usuarios de la plataforma.

Respecto a los pacientes menores de edad cuyos datos introduzca el profesional sanitario, la responsabilidad del tratamiento y la obtención del consentimiento de los representantes legales corresponde al profesional, conforme a la Ley 41/2002 de autonomía del paciente.

10. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en el servicio, en la legislación aplicable o en nuestras prácticas de tratamiento.

En caso de cambios materiales que afecten a tus derechos, te notificaremos con al menos 30 días de antelación por correo electrónico y mediante un aviso visible en la plataforma. El uso continuado del servicio tras dicho período implica la aceptación de la versión actualizada.

La versión histórica de esta política siempre estará disponible bajo petición en privacidad@myukura.com.

11. Contacto y reclamaciones

Para cualquier consulta sobre privacidad o ejercicio de derechos:

📧 privacidad@myukura.com — Solicitudes de derechos RGPD y consultas de privacidad

📧 seguridad@myukura.com — Notificación de vulnerabilidades o incidentes de seguridad

Si no recibes respuesta satisfactoria en 30 días, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD).

© 2026 Myukura · Todos los derechos reservados

Términos de servicioContacto